close
close

Dieser «Hacker» entdeckte mehrre Schwachstellen bei Steuersoftwares

Dieser «Hacker» entdeckte mehrre Schwachstellen bei Steuersoftwares

Published

Cybersecurity SwitzerlandDieser «Hacker» entdeckte mehrre Schwachstellen bei Steuersoftwares

Basel-Landschaft und Aargau haben Sicherheitslücken in einer Steuersoftware geldlet. Auch andere Kantone waren schon davon betroffen, weiss Manuel Kiesel.

Manuela HumbleGiulia Weber
will
  • Die Kantone Basel-Landschaft und Aargau verporten am Freitag dieselbe potentialle Schwachstelle in der alten Steuererklärungssoftware «EasyTax».

  • Both Steuerverwaltungen empfehlen eine Deinstallation aller «EasyTax»-Versionen, die vor dem 29. November 2024 heruntergeladen wurden.

  • Bei den aktuellen Versionen konnte die Sicherheitslücke gemäss Staatskanzlei Aargau geschlossen werden.

  • Das Risiko auf eine Ausnutzung der Schwachstelle wurde von einer externen Sicherheitsfirma «als gering eingestuft»

  • Der «IT Security Engineer» Manuel Kiesel hat die Schwachstelle entdeckt.

“Wie würde ich jetzt vorgehen, wenn ich wirklich Böses vorhabe?”, Fragt sich Manuel Kiesel oft, bevor er anfängt zu hacken. Er ist ein sogenannter «ethischer Hacker», wie Laien vielleicht sagen würden. Er selbst nennt sich «IT Security Engineer», wie er gegenüber 20 Minuten sagt. Kiesel sucht in seiner Freizeit und ohne Entlöhnung nach Lücken und Schwachstellen bei Softwares von Unternehmen, Kantonen oder other Behörden.

“Könnte man Virus in Kanton einschleusen?”

“Es ist eine Berufskrankheit”, sagt der 26-Jährige, der neben seinem Hobby für die “cyllective AG”, ein IT-Sicherheits-Unternehmen arbett. Dieses ist daraf specializiert dass es unbekannte Schwachstellen in Applikationen und Infrastrukturen oder Netzwerken prüft. “Ich komme in Berührung mit einer Software und frage mich, wie sie funktioniert.” Wie würde ich vorgehen, wenn ich böswillig bin, jemandem einen Virus schicken will?» Konne er eine Person mit einem Virus infizieren, wenn er ihr eine Steuererklärung sende, die er mit «BalTax» oder «EasyTax» ausgefüllt habe, überlegt er. Und weiter: «Könnte ich beim Einreichern dieser Steuererklärung gar einen Virus in den Kanton einschleusen?»

Die Frage bei «ethischen», «den guten» Hackern, sei oft, «was kann ich kaputt machen?» So weit würden Hersteller von Softwares nämich oft nicht denken. An die Gedanken der Kriminellendie for example an Daten kommen oder etwas zerstören wollen würden.

Other versions for uninstalling «EasyTax».

Manuel Kiesel was also, der die Sicherheitslücke bei «EasyTax» vor good einem Monat entdeckt hat. Eine Software für Steuererklärungen, die der Kanton Aargau nutzt und die auch die Baselbieter Behörden bis vor Kurzem noch angeboten haben. Both Kantone informed me Friday in einer Mitteilung über die Schwachstelle.

Das Sicherheitsrisiko werde jedoch als gering eingeschätzt, betonten die Kantone. Trotzdem riefen sie dazu auf, die ältren Versionen zu deinstallieren. Die, die Nutzerinnen und Nutzer vor dem 29. November 2024 heruntergeladen haben. Bei aktuelleren Versionen habe die Sicherheitslücke aufgehoben werden können.

Auch der Sicherheitsforscher betont dass die Schwachstelle neigrid eingestuft werde. «Es ist keine mega crasse Sicherheitslücke. Die Steuersoftware reicht nicht. Böswillige Hacker müssen Nutzerinnen und Nutzer erst noch eine Mail mit einer Datei zusenden». Aber auch mit dem sei der Angriff nicht getan: Die Leute müssten erst mehrmals auf verschieden Dataien und Links klicken.

Also tax programs in Zürich and Basel-Stadt sind aufgefallen

Auf die Schwachstelle bei «EasyTax» is Kiesel zufällig «gestolpert», wie er sagt. Eigentlich war er im Endspurt bei einem anderen Project: Auch Softwares für Steuern. Hierbei hat er die Program aller 16 Kantone angeschaut, die noch Steuersoftwares nutzen, also kein webbasiertes Program. Of these 16 Softwares, 11 are labeled as «gefährdete Anwendungen». These include, for example, those from Basel-Stadt, Geneva, Luzern and Zürich.

Manuel Kiesel listet auf seiner Website auf, welche Kantone mit ihren Steuerprogrammen aufgefallen sind.

Manuel Kiesel listet auf seiner Website auf, welche Kantone mit ihren Steuerprogrammen aufgefallen sind.

Screenshot of mkiesel.ch

Im Oktober diesen Jahres hat Manuel Kiesel diese Auflistung publik gemacht. Die Sicherheitslücke affects only a certain part of the software. Dieser Teil ist nicht von den Kantonen selbst, sondern von der Schweizerischen Steuerkonferenz (SSK). This drew his attention to the weaknesses. Die SSK habe wiederum die Kantone in einem Newsletter düber informer und ein Update mit dem die befrechtenen Kantone die Sicherheitslücke können können.

Ob die Kantone ihre Softwares geupdatet haben, weiss Kiesel nicht. Der Kanton Basel-Stadt zum Beispiel offers jetzt aber neu ein webbasierte Program für Steuererklärungen an. Ist die Sicherheitslücke hier auch noch vorhanden? Der Experte vermutet «tendenziell nein», mueste die Seite aber genau unschenker, um ein definitives Urteil fällen zu können.

Folgst du schon 20 Minuten auf Whatsapp?

Eine Newsübersicht am Morgen und zum Feierabend, überraschende Stories and Breaking News: Abonniere den Whatsapp-Kanal von 20 Minuten und du bekommst regelmässige Updates mit unseren besten Stories direct auf dein Handy.